Como compartir archivos .env y variables de entorno de forma segura con tu equipo
Deja de enviar contrasenas de bases de datos y claves API por Slack. Aprende a compartir archivos .env de manera segura con tu equipo de desarrollo.
Como compartir archivos .env y variables de entorno de forma segura con tu equipo
"Te lo mando por WhatsApp"
Un nuevo desarrollador se une al equipo. Esta configurando su entorno local y hace la pregunta inevitable:
"Oye, me puedes pasar el archivo .env?"
Lo que pasa despues es demasiado predecible. Alguien del equipo abre WhatsApp o Slack, copia todo el contenido del .env — contrasenas de la base de datos, claves API, secretos de servicios externos — y lo pega en un mensaje directo. Ese mensaje queda ahi para siempre, en el historial del chat.
Todos lo hemos hecho alguna vez. Y es mucho mas peligroso de lo que parece.
Por que es peligroso compartir archivos .env sin cuidado
Tu archivo .env es basicamente una boveda de credenciales:
- Cadenas de conexion a bases de datos — host, puerto, usuario, contrasena
- Claves API — Stripe, AWS, Firebase y otros servicios que cuestan dinero si alguien los usa sin autorizacion
- Secretos de terceros — Client secrets de OAuth, claves de firma de webhooks
- Tokens de servicios internos — autenticacion entre microservicios
Cuando pegas esto en WhatsApp o Slack, esos datos quedan almacenados en sus servidores. Cualquier persona con acceso al workspace puede buscarlos y encontrarlos meses o anos despues. Si alguien pierde un telefono, esas credenciales se van con el.
Metodos comunes (y peligrosos) para compartir .env
| Metodo | Riesgo |
|---|---|
| WhatsApp / Slack DM | Almacenado permanentemente en servidores, buscable por miembros |
| Adjunto en email | Queda en servidores de correo, puede ser reenviado |
| Google Docs compartido | Si se filtra el enlace, cualquiera accede; el historial de versiones conserva el contenido |
| Commit en Git | Aunque lo borres, queda en el historial de git log; bots escanean GitHub en segundos |
| Notion / Confluence | Buscable por todos los miembros del workspace |
El caso de Git es el mas grave. Hay bots automatizados que escanean repositorios publicos de GitHub continuamente. Si haces push de un .env por accidente, tus claves de AWS pueden estar comprometidas en minutos.
Formas seguras de compartir archivos .env
1. Gestores de secretos
Doppler, HashiCorp Vault y AWS Secrets Manager estan disenados exactamente para esto. Centralizan tus variables de entorno, ofrecen control de acceso granular, registros de auditoria y rotacion automatica. Si tu equipo tiene mas de un punado de desarrolladores, esta es la opcion ideal.
2. Gestores de contrasenas para equipos
1Password Teams y Bitwarden Organization permiten crear bovedas compartidas donde guardar el contenido del .env como notas seguras. El acceso se controla por usuario y todo esta cifrado de extremo a extremo.
3. Memos protegidos con contrasena que se autodestruyen
Para compartir algo rapido una sola vez — como en el onboarding de un nuevo desarrollador — una herramienta como LOCK.PUB funciona muy bien. Pegas el contenido de tu .env en un memo secreto, le pones contrasena y tiempo de expiracion, y compartes el enlace por Slack y la contrasena por WhatsApp (o una llamada). Cuando expira, el contenido desaparece — sin registros permanentes.
4. Archivos cifrados con GPG
Para equipos con altos requisitos de seguridad, puedes cifrar el archivo .env con GPG antes de compartirlo. El inconveniente es que todos los miembros del equipo necesitan gestionar claves GPG, lo que anade friccion.
Buenas practicas para gestionar .env
- Anade
.enva.gitignoreinmediatamente — Lo primero que debes hacer al crear un proyecto nuevo. - Mantiene un archivo
.env.example— Con valores placeholder para que los nuevos sepan que variables necesitan. - Usa credenciales diferentes por entorno — Desarrollo, staging y produccion nunca deben compartir las mismas claves.
- Rota los secretos regularmente — Como minimo, cada trimestre.
- Revoca accesos cuando alguien se va — Cuando un miembro deja el equipo, rota todos los secretos a los que tuvo acceso. No solo su cuenta — las credenciales reales.
Configuracion rapida: .gitignore + .env.example
Anade esto a tu .gitignore ahora mismo:
# Variables de entorno
.env
.env.local
.env.*.local
Luego crea un .env.example que sirva como documentacion:
# .env.example
DATABASE_URL=postgresql://user:password@localhost:5432/mydb
STRIPE_SECRET_KEY=sk_test_xxxxxxxxxxxx
FIREBASE_API_KEY=your_firebase_api_key_here
NEXT_PUBLIC_BASE_URL=http://localhost:3000
Haz commit de este archivo. Le dice a cada nuevo desarrollador exactamente que variables necesita sin exponer ningun valor real.
Deja de enviar secretos en texto plano
Compartir archivos .env puede parecer un detalle menor del dia a dia, pero es una de las fuentes mas comunes de filtracion de credenciales. Ya sea que inviertas en un gestor de secretos completo o uses LOCK.PUB para compartir credenciales con fecha de expiracion, lo importante es dejar de pegar secretos en mensajes de chat.
Haz la prueba ahora mismo: busca en tu Slack o grupo de WhatsApp DATABASE_URL o API_KEY. Los resultados te podrian sorprender.
Palabras clave
También te puede interesar
Como compartir los planes de una fiesta sorpresa sin que te descubran
Aprende a coordinar una fiesta sorpresa de forma segura sin que el homenajeado se entere. Usa tableros protegidos con contrasena, salas de chat cifradas y notas secretas para una planificacion impecable.
Plan de comunicación familiar para emergencias — Cómo reencontrarse tras una separación
Guía paso a paso para crear un plan de comunicación familiar ante desastres: desde la red de contactos hasta compartir información de forma segura.
Cómo compartir de forma segura los códigos de acceso con tus huéspedes de Airbnb
Guía práctica para anfitriones de Airbnb y alquileres vacacionales: cómo enviar códigos de puerta, contraseñas Wi-Fi e instrucciones de check-in de manera segura.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis